Os frameworks ou padrões são sistemas de controles de segurança, incluindo os processos e a documentação que definem a implementação e o gerenciamento contínuo desses controles.
Os framework permitem que uma organização gerencie consistentemente os controles de segurança em diferentes tipos de ativos, de acordo com uma metodologia geralmente aceita e testada. Algumas das estruturas e padrões mais conhecidos incluem o seguinte:
Instituto Nacional de Padrões e Tecnologia da Estrutura de Segurança Cibernética
O National Institute of Standards and Technology (NIST) criou uma estrutura voluntária em 2014 para fornecer orientações às organizações sobre como prevenir, detectar e responder a ataques cibernéticos. Os métodos e procedimentos de avaliação são usados para determinar se os controles de segurança de uma organização são implementados corretamente, operam como pretendido e produzem o resultado desejado (atendendo aos requisitos de segurança da organização). A estrutura do NIST é constantemente atualizada para acompanhar os avanços da segurança cibernética.
Centro de controles de segurança da Internet
O Center for Internet Security (CIS) desenvolveu uma lista de ações defensivas de alta prioridade que são um ponto de partida "obrigatório" para todas as empresas que tem como objetivo evitar ataques cibernéticos. Segundo o SANS Institute, que desenvolveu os controles do CIS, "os controles do CIS são eficazes porque são derivados dos padrões de ataque mais comuns destacados nos principais relatórios de ameaças e examinados em uma ampla comunidade de profissionais do governo e da indústria".
A organização pode consultar esses e outros frameworks para desenvolver sua própria estrutura de segurança e políticas de segurança de TI. Um framework bem desenvolvido garante que uma organização possa:
- Impor políticas de segurança de TI por meio de controles de segurança
- Educar os funcionários e usuários sobre as diretrizes de segurança
- Atender aos regulamentos da indústria e de conformidade
- Alcançar eficiência operacional em todos os controles de segurança
- Avaliar continuamente os riscos e os aborda por meio de controles de segurança
O seu elo mais fraco dita o quão forte é uma solução de segurança.Portanto, você deve considerar diversas camadas de controles de segurança (também conhecidas como estratégia de defesa aprofundada) para implementar controles de segurança em gerenciamento de identidade e acesso, dados, aplicativos, infraestrutura de rede ou servidor, segurança física e inteligência de segurança.